HIPAA 物理保障风险评估清单

HIPAA 物理保障风险评估清单

的存储 受保护的健康信息 (ePHI)需要得到全面保护,以防止任何外部泄漏。对于此敏感信息的处理者,应进行三项审核以简化所需安全标准的实施。安全规则处理安全问题;技术保障涉及技术,而物理保障涉及设施和硬件保护。

 HIPAA 物理保障风险评估清单

HIPAA 实物保障风险审查确保所有医疗保健提供者,护士和企业都接受审核,以确保遵守实物保障,从而确保其客户的安全。

HIPAA 物理保障风险评估清单

HIPAA 的定义

这个机构成立于1960年,目的是在员工从一家公司转移到另一家公司时保护信息。 2003年,隐私规则被美国卫生与公共服务部采用。该规则将受保护的健康信息(PHI)定义为与给定个人的健康,治疗或医疗保健付款有关的任何信息。

随着技术的进步,HIPAA安全规则于2005年侧重于以电子方式存储的PHI,从而创建了三种类型的合规性保障措施:行政(政策和程序),物理(规范对医疗保健数据的访问)和技术(安全地传输PHI)。

谁是医疗保健提供者?

根据HIPAA的定义,提供者包括国家授权从事医学和外科手术的所有个人。

什么是涵盖实体?

据HIPAA称,涵盖实体包括处理电子PHI的医疗保健票据交换所,医疗计划和医疗保健提供者。

什么是业务伙伴?

这是指在提供服务时使用PHI涉及的任何个人/实体。可能包括由于可能与患者的PHI互动而提供咨询服务的第三方管理员或专业人员。

如何获得合规

您必须先通过风险评估。您的组织应使用国家健康信息技术协调员办公室来获取安全风险评估的指南。然后,您应该回答156个问题(分为管理,技术和物理保障)。

什么是人身保障?

这些是任何涵盖实体和业务伙伴应采取的措施,以确保ePHI的安全。如果不安全,可能会破坏患者的机密性。

风险评估

  • 首先建立处理ePHI的所有物理系统(设备和介质)的清单。包括运输介质。
  • 记录所有设施的位置(您的组织租用,拥有,处理的位置,收集数据的位置或ePHI的存储区域)
  • 拥有所有有权使用您的设施的人员的清单
  • 哪些环境因素会破坏您的信息?记录下来!
  • 核对物理环境以确保操作不中断
  • 确定电涌,空调故障和空气过滤系统的影响
  • 确定洪水,火灾,断电和高温等自然威胁对PHI完整性的影响
  • 审查人为威胁的影响,例如未经授权的信息披露
  • 创建一个完整的数据库,其中包含授权人员应具有的访问卡,锁,门,组合和钥匙
  • 开发和维护所有有权访问ePHI的工作站和电子设备的记录。

物理访问控制策略/过程

  • 制定明确的政策和程序,以规范对所有ePHI设施的访问。包括所有涉及的输出设备。
  • 制定政策,保护设施和设备免遭未经授权的篡改或盗窃
  • 建立物理防护措施,例如门,障碍,栅栏和检测摄像头
  • 建立程序,仅允许经过授权的人员进入和退出。此外,制定访问公共区域的政策
  • 建立安全功能,包括组合,安全密钥和物理访问设备
  • 确定用于授权人们使用ePHI访问库存的过程。验证应基于授权人员的角色。
  • 机构采取措施,对ePHI设施的所有出入口实施物理访问授权
  • 开发方法以仅允许需要访问权限以完成其职务说明的劳动力成员和第三方访问ePHI的存储设施
  • 制定不可预测的物理访问控制程序(定期更改组合)并检测犯规行为。
  • 记录所有访问ePHI设施的访客

物理和环境保护与安全政策/程序

  • 开发 政策和程序 用于身体保护
  • 查看组织对物理和环境保护的所有需求,以确保对政策的响应
  • 制定设施安全计划和数字媒体保护
  • 制定措施来规范包含ePHI的媒体的接收和删除
  • 制定政策和程序来解决存储ePHI的媒体的存储,保护,可访问性,标记和监视
  • 开发和实施工具以监视对ePHI存储设施的访问。您应该有一个系统级的安全计划。

应急预案

  • 确保您具有处理紧急情况的详细程序,而又不损害健康信息的完整性
  • 采取措施恢复紧急情况下可能丢失的ePHI
  • 开发替代处理站点,以确保持续运行。它应包括安全控制工具
  • 签署保证恢复信息服务的文件
  • 备用地点应包括所有设备和用品以及安全保障措施
  • 始终在备用位置保留一份ePHI副本。该位置应该是恢复信息的理想选择。同样,这些位置应仅允许授权用户使用。

维护政策/程序

  • 制定策略和程序,以跟踪所有记录以及对ePHI位置的物理安全性的所有修改
  • 确保定期维护计划

工作站政策/程序

  • 实施详细说明所有工作站(包括电子设备)功能的策略。确保从输出设备正确控制ePHI数据访问
  • 制定严格的措施以防止未经授权访问工作站和所有电子设备
  • 在允许任何一方访问之前,先制定访问协议
  • 建立标记媒体的政策和程序。在配置和放置电子设备期间,确保没有未经授权的人员进入工作站
  • 确保工作站远离公众开放的区域,并将所有电子设备存储在这些区域中
  • 有通过移动设备访问ePHI的详细指南

远程访问设备和信息移动

  • 有适当的硬件和电子媒体移动记录。此外,还应记录移动过程中所有ePHI的处理者
  • 记录您采用的运输介质的安全措施
  • 在访问ePHI之前,记录需要签署访问协议的所有硬件和电子媒体的传输
  • 在移动过程中,请确保详细的健康信息备份计划。

记录保留和销毁

  • 记录与安全处置包含ePHI的介质有关的所有过程。这应该包括运输和消毒。
  • 实施ePHI最终处置准则
  • 在重复使用设备之前,请确保您制定了删除敏感信息所必需的措施

内部和外部审计

  • 定期测试应急程序
  • 确保您进行定期审核以中止不再需要访问权限的用户的访问权限
  • 定期审查访客’记录(那些访问ePHI的人)
  • 定期检查访问数据库,以确保没有未授权的个人访问数据库
  • 确保定期维护和维修设施。进行修改以增强安全性也是必要的
  • 定期检查工作站和所有可以访问敏感健康信息的电子设备的清单
  • 定期检查信息系统的位置以确定其漏洞
  • 维护所有访问或删除媒体的个人的记录

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *

四− one =